脆弱性診断(セキュリティ診断)|必要性や種類・方法を含む全体像を解説!
脆弱性診断とは?Webアプリや社内システムの安全確保に必要なことはわかるが、具体的にどういうものなのかまでは把握していない。そんな企業担当者の方に向け、目的・必要性から、診断の対象・種類・方法、サービスの選び方や費用まで、脆弱性診断(セキュリティ診断)の全体像を解説していきます。
脆弱性診断(セキュリティ診断)とはシステムに潜む脆弱性の診断
脆弱性診断とは、Webアプリケーションや社内システムに潜む脆弱性の有無をチェックするセキュリティ診断のこと。ここでいうWebアプリ / 社内システムには、入力フォームの設置された動的Webサイトをはじめ、ネットワークに接続して利用するすべてのアプリ / システムが含まれます。
脆弱性(セキュリティホール)とは
そもそも脆弱性とは、もろくて弱い性質・性格のこと。情報セキュリティ用語としての脆弱性は、コンピューターOSや、ソフトウェア / ハードウェアに潜む「情報セキュリティの安全性を脅かす欠陥」を意味します。
アプリ / システムに脆弱性という欠陥が生じるのは、設計上のミスやプログラムの不具合、複雑なシステム連携などが原因。つまり、人手の介在するアプリ / システム設計 / 開発では、脆弱性を完全になくすことは不可能です。それは、セキュリティパッチが頻繁に公開されるコンピューターOSを見ても理解できるでしょう。
脆弱性を狙った主なサイバー攻撃
こうしたアプリ / システムの「もろくて弱い性質」である脆弱性は、悪意ある第三者から見れば「もっとも攻撃を仕掛けやすい」格好の標的。脆弱性を「セキュリティホール」とも呼ぶのはこのためです。近年増加傾向にあるサイバー攻撃のほとんどは、アプリ / システムの脆弱性を突いたもの。主なサイバー攻撃例をいくつか紹介しておきましょう。
|
サイバー攻撃の種類 |
概要 |
|
SQLインジェクション |
入力フォームや検索ボックスに不正なSQL文を注入し データベースからデータを消去・改ざん・盗用する Webアプリの脆弱性を狙った攻撃 |
|
クロスサイトスクリプティング(XSS) |
入力フォームに悪質なHTMLスクリプトを埋め込み 入力したユーザーを別サイトに遷移させて情報を搾取する Webサイトの脆弱性を狙った攻撃 |
|
OSコマンドインジェクション |
WebサーバへのリクエストにOS命令文(コマンド) を紛れ込ませ不正操作を実行させる Webアプリの脆弱性を狙った攻撃 |
脆弱性診断(セキュリティ診断)の目的 / 必要性
脆弱性を狙ったサイバー攻撃の特徴は、被害が拡大しやすいことです。つまり、脆弱性診断が必要な理由は、サイバー攻撃による被害リスクを最小限に抑えるため。そのためには、アプリ / システムに潜む既知の脆弱性を特定し、サイバー攻撃の危険度に応じたランク付け / 報告が必要。これが脆弱性診断の目的です。
たとえば、自社アプリ / システムにどのような脆弱性があるのかを把握できていれば、仕掛けられる可能性のある攻撃種類を想定可能。危険度に応じてランク付けしてあれば、優先して対策すべき脆弱性を特定できます。
セキュリティアクシデントのリスク軽減
既知の脆弱性を把握してサイバー攻撃対策を施しておくことにより、セキュリティアクシデントのリスクを大幅に軽減可能。これは脆弱性診断によって得られる最大の効果でもあります。
逆に、脆弱性を放置することでユーザーの個人情報が流出すれば、状況に応じた個別対応はもちろん、損害賠償に発展するリスクもあります。情報漏洩事故に発展しない場合でも、マルウェアによってシステムを破壊されたり、データを消去されてしまうことも。復旧に要する金銭的な被害、業務停止による損害は免れません。
安全性の高いサービスを提供
エンドユーザーに安全性の高いサービスを提供するためにも、脆弱性診断は必要です。なぜなら、サイバー攻撃を要因とするセキュリティアクシデントの発生は、自社サービスの社会的信用失墜につながるから。一度失った信用を取り戻すことは並大抵なことではありません。
特に、ECサイトや会員サイトなど、一般カスタマーを対象にするWebアプリ / サービスは要注意。金銭を含む実害を被るリスクよりも、ユーザーの信用を失わないために、脆弱性診断による対策が必要です。
脆弱性診断(セキュリティ診断)の対象 / 種類
アプリ / システムに潜む脆弱性を特定することを目的とする脆弱性診断は「アプリ / システムを構成する要素すべて」が診断対象です。ただし、アプリ / システムを構成する要素の特性に応じ、脆弱性診断は大きく「アプリケーション診断」「プラットフォーム診断」の2つに分けて実施されます。
アプリケーション診断
アプリケーション診断とは、ユーザーへサービスを提供するアプリケーション層に潜む脆弱性を特定するセキュリティ診断のこと。ここでいうアプリケーションには、ECサイト / WebサイトなどのWebアプリ / サービスのほか、業務アプリ、モバイルアプリなども含まれます。
各企業によって独自開発されるアプリケーションは、それぞれ目的・ターゲットも異なれば、開発言語や実装される機能も異なります。つまり、アプリケーションが異なれば、脆弱性の潜んでいる箇所もさまざま。こうしたアプリケーションの持つ特徴にあわせ、柔軟に対応するための脆弱性診断がアプリケーション診断です。
プラットフォーム診断
プラットフォーム診断とは、アプリケーションの動作する土台となるプラットフォーム層に潜む脆弱性を特定するセキュリティ診断のこと。プラットフォームには、OS / ミドルウェアなどのソフトウェア以外にサーバ、ネットワーク機器などのハードウェアも含まれます。
具体的には、OS / ミドルウェアに最新のセキュリティパッチを適用しているか?ネットワーク機器を含むハードウェア設定にミスはないか?などを診断します。
脆弱性診断(セキュリティ診断)の方法
アプリケーション / プラットフォーム診断、どちらの場合でも、脆弱性診断には「ツール診断」「手動診断」という2つの方法があります。それぞれの方法の違い、特徴を簡単に解説しておきましょう。
ツール診断
ツール診断とは、文字通り「脆弱性診断ツール」を使い、アプリケーション / プラットフォームの欠陥を見つけるセキュリティ診断のこと。診断対象となるサーバ / アプリケーションを指定して実行するだけで欠陥を発見できるため、幅広い箇所を手間 / 時間をかけずに診断するのに有効です。
手動診断(マニュアル診断)
一方の手動診断(マニュアル診断)とは、アプリケーション / プラットフォームの欠陥を「セキュリティの専門家」が手動で見つけるセキュリティ診断のこと。ツール診断では見落としがちな欠陥を発見できる反面、手間 / 時間がかかるため、幅広く診断するには高額な費用が必要です。
つまり、ツール診断と手動診断の違いは、診断箇所の幅広さ / 深さ / 費用。ただし、ツール診断 / 手動診断、どちらかを選ぶという方法はおすすめできません。それぞれの違いを理解した上で、適切なタイミングで適切な方法を選択することが重要です。
ペネトレーションテストとの違い
脆弱性診断の方法を解説したところで、同列で語られることの多いセキュリティ診断「ペネトレーションテスト」についても簡単に触れておきましょう。
ペネトレーションテストとは、攻撃者の視点でWebアプリ / システムの脆弱性を見つけるセキュリティ診断のこと。具体的には、「データベースの個人情報を抜き取る」などの目標を定め、作成した攻撃シナリオに沿ってセキュリティエンジニアが疑似攻撃を仕掛けます。
システムに潜む脆弱性の有無を診断する、という点では脆弱性診断もペネトレーションテストも同じ。しかし、脆弱性診断がシステムの脆弱性を特定することを目的とするのに対し、ペネトレーションテストの目的は「攻撃者の視点でシステムの脆弱性を検証」することです。
そのため「攻撃シナリオに含まれていない欠陥がツールで発見される」「リスクの低い欠陥だと判断された脆弱性が攻撃シナリオの足掛かりになる」場合も。目的の異なる両者は、セキュリティ診断の目的に応じて選択するのがおすすめです。
脆弱性診断(セキュリティ診断)サービスの選び方 / 費用
脆弱性診断は、ツールを導入して自社チェックする方法もありますが、開発者でなければ適切なツールを選定できないことも事実。実際には、脆弱性診断(セキュリティ診断)サービスを利用する企業がほとんどです。
それでは、自社に適切な脆弱性診断サービスを選定するには、どのようなことに気をつけておけばいいのか?ヒントとなるポイントを紹介していきます。
ツール / 手動診断の併用が基本
ツール / 手動診断、双方に対応する脆弱性診断サービスを選びましょう。なぜなら、診断の範囲 / 深さがそれぞれ異なるツール / 手動診断は、状況に応じて併用することで、それぞれの弱みを補えるからです。
たとえば、サービスローンチの時点でツール / 手動診断を実施。その後、定期的にツール診断を実施しながら、1年に1回手動診断を実施するなど。脆弱性診断の費用は診断数やサービスによってまちまちですが、数十万円から100万円を超える場合がほとんどです。
また、手動診断には高い専門性が求められるため、サービス機関の信頼性を確認することも重要。CTFなどのセキュリティコンテストの入賞実績があるか?ホームページに「ISMS(情報セキュリティマネジメントシステム)」が表示されているか?確認が必要です。
アフターフォロー
脆弱性診断だけでなく、アフターフォローのできるサービスを選びましょう。ここでいうアフターフォローとは、欠陥箇所を特定するだけでなく、適切な対策方法を報告してくれるか?ということ。問い合わせ時に診断後の対応を確認しておくことがおすすめです。
主な脆弱性診断(セキュリティ診断)サービス / ツール
脆弱性診断の全体像は把握できた。しかし、どんなサービスがあるのかわからない。そんな方に向け、主な脆弱性診断(セキュリティ診断)サービス / ツールを紹介していきます。
|
サービス / ツール |
特徴 |
費用 |
|
ユービーセキュア: セキュリティ診断サービス |
・システム環境に応じた適切な診断プランを提案可能 ・情報セキュリティサービス審査登録制度に登録される信頼性 ・ペネトレーションテスト / PCI DSS準拠スキャンサービス対応 |
セキュリティ診断サービスの価格例
Webアプリケーション診断 467,500円 (診断対象5画面程度。個別見積)
プラットフォーム診断 495,000円 (リモート診断対象31P程度。個別見積)
スマホアプリ診断(Android) 600,000円 (10画面程度。個別見積) ※価格はすべて税込み |
|
GMOサイバーセキュリティ byイエラエ |
・サイバーセキュリティのプロフェッショナルカンパニー ・AIを活用した作業効率化で低価格を実現 ・セキュリティコンサルティングも提供可能 |
要見積もり |
|
AppChecker |
・ニーズに応じてツール / 手動 / ハイブリッドを選択可能 ・擬似ハッキング手法による実用的なセキュリティ診断 ・最短5日間でレポートを提出 |
AppCheckerの価格例
AppChecker for Android / iOS 330,000円 (ツール診断、1アプリ / 1ロール / 回)
AppChecker for Android / iOS追加ロール 165,000円 (ツール診断、1アプリ / 1ロール / 回)
AppChecker Pro 1,100,000円〜 (フル手動診断サービス iOS / Android) ※価格はすべて税込み |
|
AeyeScan(エーアイスキャン) |
・脆弱性診断内製化を実現するWebアプリ診断ツール ・セキュリティのプロも認める安心の診断項目 ・高精度なテストシナリオをAIで自動生成 |
要問い合わせ |
ユービーセキュア:セキュリティ診断サービス
画像出典:株式会社ユービーセキュア
ユービーセキュア:セキュリティ診断サービスのおすすめポイント
- システム環境に応じた適切な診断プランを提案可能
- 情報セキュリティサービス審査登録制度に登録される信頼性
- ペネトレーションテスト / PCI DSS準拠スキャンサービス対応
株式会社ユービーセキュアは、脆弱性診断ツール開発事業も手掛ける情報セキュリティベンダーです。情報セキュリティサービス審査登録制度に登録される信頼性の高いセキュリティ診断サービスを提供。Webアプリ / プラットフォーム以外に、スマートフォンアプリやペネトレーションテスト / PCI DSS準拠スキャンサービスも提供しています。
自社のシステム環境や予算に応じ、適切な診断プランを提案してくれることもポイント。
脆弱性診断に関する相談も無料で受け付けてくれます。
ユービーセキュア:セキュリティ診断サービスの概要・価格感
|
会社名 |
株式会社ユービーセキュア |
|
主なサービス |
Webアプリケーション診断、プラットフォーム診断、 スマートフォンアプリケーション診断、 ソースコード診断、ペネトレーションテスト |
|
価格感 ※税込み |
セキュリティ診断サービスの価格例
Webアプリケーション診断 467,500円 (診断対象5画面程度。個別見積)
プラットフォーム診断 495,000円 (リモート診断対象31P程度。個別見積)
スマホアプリ診断(Android) 600,000円 (10画面程度。個別見積) |
GMOサイバーセキュリティbyイエラエ
画像出典:GMOサイバーセキュリティbyイエラエ
GMOサイバーセキュリティbyイエラエのおすすめポイント
- サイバーセキュリティのプロフェッショナルカンパニー
- AIを活用した作業効率化で低価格を実現
- セキュリティコンサルティングも提供可能
GMOサイバーセキュリティbyイエラエ株式会社は、ホワイトハッカーで構成された脆弱性診断特化型の情報セキュリティベンダーです。ツール / 手動診断を併用しながらも、AIを活用した効率化により、低価格でのサービス提供を実現しています。
たとえば、Webアプリケーション診断では、ニーズと予算に合わせた4つのプランを用意。
緊急性の高い脆弱性を速報で伝えてくれるほか、脆弱性の再現方法、対策も教えてくれます。Webアプリ診断後も、同社の脆弱性診断ツールを1年間無償で利用できることもポイントです。
GMOサイバーセキュリティbyイエラエの概要・実績・価格感
|
会社名 |
GMOサイバーセキュリティbyイエラエ株式会社 |
|
主なサービス |
Webアプリケーション診断、プラットフォーム診断、 スマホアプリ診断、クラウド診断、ペネトレーションテスト |
|
価格感 |
要見積もり
|
|
導入実績 |
|
AppChecker
画像出典:アイティーエム株式会社
AppCheckerのおすすめポイント
- ニーズに応じてツール / 手動 / ハイブリッドを選択可能
- 擬似ハッキング手法による実用的なセキュリティ診断
- 最短5日間でレポートを提出
AppCheckerは、アイティーエム株式会社が提供するモバイルアプリ向け脆弱性診断サービスです。リーズナブルなツール診断、セキュリティエンジニアによるフル手動診断のほか、ツールと手動を組み合わせたハイブリッド診断にも対応。iOS / Androidのセキュリティ診断、どちらも依頼できます。
もちろん、Webアプリケーション診断「SiteScan」や、ペネトレーションテストにも対応。Webサイト改ざん検知、DDoS対策など、脆弱性診断以外のセキュリティソリューションも提供しています。
AppCheckerの概要・価格感
|
会社名 |
アイティーエム株式会社 |
|
主なサービス |
Webアプリケーション診断、プラットフォーム診断、 スマートフォンアプリ診断、ペネトレーションテスト |
|
価格感 ※税込み |
AppCheckerの価格例
AppChecker for Android / iOS 330,000円 (ツール診断、1アプリ / 1ロール / 回)
AppChecker for Android / iOS追加ロール 165,000円 (ツール診断、1アプリ / 1ロール / 回)
AppChecker Pro 1,100,000円〜(フル手動診断サービス iOS / Android) |
AeyeScan(エーアイスキャン)
画像出典:AeyeScan
AeyeScan(エーアイスキャン)のおすすめポイント
- 脆弱性診断内製化を実現するWebアプリ診断ツール
- セキュリティのプロも認める安心の診断項目
- 高精度なテストシナリオをAIで自動生成
AeyeScan(エーアイスキャン)は、株式会社エーアイセキュリティラボが開発・提供するSaaS型Webアプリケーション脆弱性診断ツールです。WebサイトのURLを登録するだけでAIが自動巡回して繊維エラーや脆弱性を検出。RPAを活用することで複雑なフォーム入力も自動入力してチェックできます。
一度Webサイトを巡回してしまえば、後はAIが適切なテストシナリオを自動生成。AIが手動できなかった箇所は手動巡回機能で診断対象を追加可能。プロも認める安心の診断項目を網羅しているため、Webアプリの脆弱性診断内製化を強力に推進できます。
AeyeScan(エーアイスキャン)の概要・実績・価格感
|
会社名 |
株式会社エーアイセキュリティラボ |
|
主な機能 |
CI / CDツールとAPI連携したテストの自動化 開発・運用体制にあわせたアクセス権限設定、 APIの自動巡回・スキャン(オプション) |
|
価格感 |
要問い合わせ |
|
導入実績 |
|
【まとめ】脆弱性診断(セキュリティ診断)の全体像を紹介しました
脆弱性診断とは?Webアプリや社内システムの安全確保に必要なことはわかるが、具体的にどういうものなのかまでは把握していない。そんな企業担当者の方に向け、目的・必要性から、診断の対象・種類・方法、サービスの選び方や費用まで、脆弱性診断(セキュリティ診断)の全体像を解説してきました。
サイバー攻撃というと、どこか遠いところで起こっているようにも思えますが、現実はそうではありません。日々巧妙化・悪質化の進むサイバー攻撃のターゲットは、あなたの会社かもしれないのです。まだ脆弱性診断を受けていないのなら、いますぐ自社アプリ / サービスをチェックしてみましょう。
